Der deutsche Sicherheitsdienstleister SecureNet stellt in einer aktuellen Veröffentlichung eine bislang wenig bekannte Art des Missbrauchs bestehender Web-Verbindungen vor. Bei dieser als Session Riding bezeichneten Attacke kann ein Angreifer über manipulierte Links eigene Daten an Web-Applikationen übergeben, mit der ein Opfer gerade in Verbindung steht. So ist er damit beispielsweise in der Lage, Daten zu löschen, Spam-Mails zu versenden oder die Konfiguration von Routern und Firewalls zu ändern, die sich über eine Web-GUI administrieren lassen. Auch Bestellungen in Online-Shops lassen sich so aufgeben oder Gebote bei Online-Auktionen abgeben, ohne dass der Angreifer das Passwort oder den Benutzernamen seines Opfers kennen muss. Ob die kürzlich von Computer Bild gemeldete Sicherheitslücke in eBays Online-System eventuell auf Session Riding beruht ist unklar, da keine näheren Einzelheiten veröffentlicht wurden.
Session Riding nutzt keine Schwachstellen in Browsern aus. Anders als etwa beim Cross-Site-Scripting sind auch keine eingeschleusten Skripte erforderlich. Vielmehr genügt eine URL, in die ein Angreifer bereits bestimmte Variablen eingesetzt hat. Solch eine URL kann als Link in einer E-Mail oder auf einer Web-Seite eingebettet sein. Beim Klick auf den Link sendet der Browser die komplette URL im Kontext des Opfers an die Web-Applikationen. Ist das Opfer dort gerade angemeldet, so sendet der Browser auch automatisch das Cookie zur Authentifizierung mit -- ohne weitere Interaktion des Nutzers. Die Applikation führt anschließend die den Variablen zugeordnete Aktion durch. Beispiele für derart präparierte Links zeigt SecureNET in seinem Whitepaper auf.
Laut SecureNet müssen präparierte URLs nicht unbedingt in externen Web-Seiten eingebaut sein. So erfüllen manipulierte Image-Tags etwa im HTML-Code der Angebotsseiten von Online-Auktionen denselben Zweck. Ein Besucher dieser Seite gibt -- ohne es zu merken -- automatisch ein Gebot ab. Zur Lösung des Problems schlagen die Autoren unter anderem den Einsatz zusätzlicher Secrets in einer URL vor, die ein Angreifer nicht vorhersagen kann. Zudem soll es sicherer sein, wenn Web-Applikationen statt GET-Requests nur noch POST-Requests akzeptieren. Hier müsste der Anwender nämlich zusätzlich zum Link noch einen Button anklicken, allerdings ließe sich dies auch mit einem JavaScript erledigen.
Cheers
@JackI:chrz: